近年來(lái),作為管道的網(wǎng)絡(luò )和新上市終端大部分都已經(jīng)支持IPv6,瓶頸在IPv6環(huán)境中缺少應用,導致實(shí)際的IPv6流量占比一直沒(méi)有起來(lái)。數據中心作為承載應用的基礎設施架構,由于虛擬化,容器的大量使用,導致對IP地址的消耗過(guò)大,許多數據中心已經(jīng)被迫開(kāi)始采用IPv6,新型的云化網(wǎng)絡(luò )IPv6該如何部署,華為CloudFabric云數據中心網(wǎng)解決方案試圖給大家一些啟示。
1、CloudFabric IPv6之初始階段:高起點(diǎn),超寬演進(jìn)能力
數據中心的應用日新月異,服務(wù)器的生命周期一般為3到5年,網(wǎng)絡(luò )設備的壽命一般為8到10年,因此數據中心基礎網(wǎng)絡(luò )設計一般要考慮適度的超前性,支撐不同接口速率的服務(wù)器同時(shí)接入網(wǎng)絡(luò ),適應業(yè)務(wù)演進(jìn)過(guò)程IPv4和IPv6不同流量占比情況,從而保持業(yè)務(wù)的持續性和穩定性。
CloudFabric基礎網(wǎng)絡(luò )方面,華為重點(diǎn)發(fā)展IPv6的超寬演進(jìn)能力,華為CloudEngine數據中心交換機支持容量高達36端口密度且全面支持IPv6的100GE功能線(xiàn)卡,實(shí)現數據中心內部核心高效互聯(lián)互通;在服務(wù)器接入層面,支持25GE的CE6860和CE6865盒式交換機,支持32和64固定端口CE8850和4插槽的CE8860的100GE端口交換機,華為現有交換機的服務(wù)器的接入能力從千兆萬(wàn)兆25GE直至到100GE,均已支持IPv6功能,可以有效支撐現網(wǎng)IPv4向IPv6網(wǎng)絡(luò )的平滑演進(jìn)。
華為在硬件平臺、軟件平臺、光模塊、標準等方面有大量的技術(shù)的儲備,華為NE路由器IPv6早就已經(jīng)規模商用,在CloudEngine交換機設計之初就是和NE路由器共平臺設計,產(chǎn)品硬件就同時(shí)具備IPv4與IPv6的能力,而統一的軟件平臺VRP也全面支持IPv6控制與管理協(xié)議;在標準方面,華為在IETF IPv6領(lǐng)域新增工作組文稿上已經(jīng)領(lǐng)先業(yè)界,成為貢獻最大的廠(chǎng)商,并主導了IPv6過(guò)渡、組播、安全等標準。
早在2013年華為CloudEngine數據中心系列交換第一個(gè)版本某交通大學(xué)IPv6局點(diǎn),就已經(jīng)對如何在基礎網(wǎng)絡(luò )層面從傳統的IPv4網(wǎng)絡(luò )平滑地遷移到終極的IPv6網(wǎng)絡(luò )進(jìn)行了認證部署,在這一階段積累了在IPv4和IPv6不同占比流量下各種表項分配比例,形成了最佳實(shí)踐數據。華為CloudFabric具備多種IPv4向IPv6的遷移技術(shù),如雙棧、IPv6 Over IPv4手動(dòng)/GRE隧道,IPv6 Provider Edge等,是最早一批在數據中心交換機形態(tài)上全面實(shí)現IPv6過(guò)渡技術(shù)并獲得了IPv6 Ready認證的廠(chǎng)商。
2、CloudFabric IPv6之發(fā)展階段:很全面,極簡(jiǎn)部署能力
數據中心是用戶(hù)的生產(chǎn)網(wǎng),存放著(zhù)核心數據,對外提供形形色色的各類(lèi)服務(wù),數據中心的IPv6演進(jìn)應該是伴隨著(zhù)業(yè)務(wù)的改造逐步進(jìn)行的了,數據中心最終目標是提供全面的IPv6業(yè)務(wù),但是演進(jìn)過(guò)程中提供IPv4/IPv6雙棧的對外全面服務(wù)是基本要求。雙棧數據中心遵循“IPv4的用戶(hù)訪(fǎng)問(wèn)IPv4的應用,IPv6的用戶(hù)訪(fǎng)問(wèn)IPv6的應用”原則,基于穩定性和安全隔離考慮,需要將應用系統服務(wù)器區和用戶(hù)接入區按照”維持現有IPv4環(huán)境、隔離新建IPv6環(huán)境”原則建設,業(yè)務(wù)有序平穩逐步向IPv6遷移。華為CloudFabric云數據中心網(wǎng)基于IPv6 VxLAN的SDN自動(dòng)化部署方案主要包括如下圖兩種模式。
- “業(yè)務(wù)先行“的IPv6演進(jìn)模式:租戶(hù)部署在數據中心的業(yè)務(wù)先行IPv6化,要求網(wǎng)絡(luò )設備利舊,或者說(shuō)現有IPv4運維經(jīng)驗和工具不想太激進(jìn),在利舊物理underlay網(wǎng)絡(luò )IPv4基礎上平滑演進(jìn), 支持承載IPv6 Overlay業(yè)務(wù)。無(wú)論是基于WEB-APP-DB方式的層次化調用的B/S模式還是C/S模式的單層調用,對于一個(gè)上層應用來(lái)說(shuō),IPv6涉及的不僅僅是一個(gè)操作系統協(xié)議棧如TCP6/UDP6的修改,而是整個(gè)應用層對IPv6從第三層到第七層的端到端的適配,摸清楚業(yè)務(wù)系統適配的工作量是IPv6改造的難點(diǎn)和關(guān)鍵點(diǎn)。值得一提的是,利用IPv6 VxLAN over IPV4,不僅能夠利舊已有的IPv4數據中心網(wǎng)絡(luò )、保護大量投資,還有助于新的IPv6業(yè)務(wù)系統大規模擴展。
- “網(wǎng)絡(luò )先行“的IPv6演進(jìn)模式:新建數據中心采用物理的Underlay IPv6網(wǎng)絡(luò ), 承載租戶(hù)IPv4/IPv6業(yè)務(wù),對于WEB-APP-DB多層架構的純IPv6應用的大型服務(wù)器群由于涉及的中間虛擬化平臺,軟件種類(lèi)眾多、功能豐富,應用在WEB層實(shí)現IPv6前端服務(wù)、APP,DB等后端服務(wù)仍然采用IPv4是一種穩健的過(guò)渡方式,這種混合部署的方式持續時(shí)間取決于業(yè)務(wù)IPv6改造的時(shí)間,華為CloudFabric IPv4 VxLAN over IPv6可以確保在云端應用系統與用戶(hù)終端無(wú)感知的情況下,實(shí)現業(yè)務(wù)向IPv6網(wǎng)絡(luò )的演進(jìn)升級過(guò)程中最大程度的利舊現網(wǎng)服務(wù)器接入資源,給應用系統的改造預留足夠的時(shí)間窗口,利于業(yè)務(wù)的平滑演進(jìn)。
華為CloudFabric云數據中心網(wǎng)絡(luò )將VxLan的物理Underlay網(wǎng)絡(luò )和邏輯的Overlay網(wǎng)絡(luò )的混合疊加組網(wǎng)在一個(gè)拓撲中實(shí)現,始終遵守的客戶(hù)行為準則:我可以接受一個(gè)新世界,但盡量別損失我在舊世界已經(jīng)擁有的價(jià)值,在還沒(méi)有找到IPv6合理的顯性商業(yè)盈利模式之前,盡量通過(guò)升級改造節省投資。
3、CloudFabric IPv6之加固階段:很安全,網(wǎng)安聯(lián)動(dòng)能力
在IPv6的基礎網(wǎng)絡(luò )架構和SDN的自動(dòng)化部署問(wèn)題解決之后,數據中心的安全部署問(wèn)題就日益提到重要的位置了。隨著(zhù)服務(wù)器的虛擬化和網(wǎng)絡(luò )的大二層在云的部署環(huán)境中越來(lái)越普遍,傳統的安全邊界和可信區域逐步消失,云數據中心安全關(guān)注的焦點(diǎn)也從傳統的南北向的安全轉移到東西向安全。
微分段實(shí)現跨服務(wù)器東西向安全隔離由安全設備轉移到交換機: 為了明確網(wǎng)絡(luò )和安全團隊的責任邊界,典型的數據中心業(yè)務(wù)模型南北向的安全通常由防火墻來(lái)完成,而東西向隔離承擔的角色可能包含防火墻,交換機,甚至服務(wù)器上的安全組,在交換機上實(shí)現比子網(wǎng)更細粒度如基于離散IP,虛擬主機名等的隔離,這個(gè)時(shí)候ACL表項規格就成為瓶頸,華為基于A(yíng)CL做了大量算法優(yōu)化的微分段技術(shù)實(shí)現了同樣容量硬件情況下數十倍數量的隔離規格。
NSH(Network Service Head)業(yè)務(wù)鏈簡(jiǎn)化配置實(shí)現安全業(yè)務(wù)靈活編排:傳統的基于策略路由的業(yè)務(wù)鏈在多跳安全設備的情況下,需要在每一跳設備來(lái)回路徑進(jìn)行雙向策略路由引流,業(yè)務(wù)配置復雜度高,并且占用寶貴的ACL資源,CloudFabric基于VxLAN擴展頭NSH標準協(xié)議將業(yè)務(wù)鏈的引流從控制面轉移到轉發(fā)面,節省了大量策略路由配置,同時(shí)可以和第三方安全設備標準對接。
由于安全等級保護制度對于安全設備異構的要求,一個(gè)數據中心通常會(huì )有多個(gè)廠(chǎng)家的安全設備,為最大發(fā)揮他們差異化優(yōu)勢,華為CloudFabric的Agile Controller-DCN網(wǎng)絡(luò )控制器可以和華為SecoManager安全控制器聯(lián)動(dòng),也可以和第三方的其它安全控制器聯(lián)動(dòng),Agile Controller-DCN負責雙向引流策略,而差異化的安全策略配置等功能由安全控制器負責。
隨著(zhù)IPv6在微分段,業(yè)務(wù)鏈,第三方VAS設備對接等安全功能實(shí)現,CloudFabric的網(wǎng)絡(luò )和安全聯(lián)動(dòng)IPv6整體方案趨向完整且逐步成熟商用。
4、CloudFabric IPv6之延伸階段:易集成,豐富生態(tài)能力
以IPv6為基礎的下一代互聯(lián)網(wǎng)是實(shí)現“端、管、云”的重要基礎設施,物以網(wǎng)聚是形成開(kāi)放產(chǎn)業(yè)生態(tài)體系的關(guān)鍵,華為CloudFabric形成了一個(gè)以“轉發(fā)器+控制器”的Fabric級別的完備的多層次開(kāi)放體系。
- 控制器豐富的北向生態(tài)能力:支持Vmware vRNI/vCenter、Microsoft SysCenter、 Mirantis、Redhat、K8S容器云;支持多DC、業(yè)務(wù)鏈等300多個(gè)北向開(kāi)放API。
- 控制器異構的南向生態(tài)能力:支持F5、A10 、CheckPoint、PaloAlto、Fortinet等第三方VAS引流對接,編排業(yè)務(wù)鏈。
- 轉發(fā)器開(kāi)放易被集成:CloudEngine設備支持被Vmware NSX納管,支持與MicroSoft Azure Stack的混合云集成,支持與Puppet、Ansible第三方管理工具對接。
當前,公有云主要提供商,CDN大型服務(wù)商,運營(yíng)商都以驚人的速度加快部署IPv6,也許一個(gè)混合的多云世界很快將會(huì )出現。這也驅動(dòng)了企業(yè)私有云加快向IPv6的演進(jìn),華為CloudFabric致力打造一個(gè)全天候多層次開(kāi)放的IPv4/IPv6雙棧混合云數據中心網(wǎng)基礎設施架構。
5、總結
2017年6月華為CloudFabric被Gartner評為“數據中心網(wǎng)絡(luò )挑戰者”,2018年3月被Forrester評為“數據中心SDN網(wǎng)絡(luò )硬件平臺領(lǐng)導者”。截止到2018年5月,華為Cloud Fabric云數據中心網(wǎng)解決方案,已經(jīng)服務(wù)于全球150+國家,2200+個(gè)數據中心。 其中云數據中心占比超過(guò)50%,CE12800累計全球銷(xiāo)售20000+臺。這表明華為云數據中心網(wǎng)絡(luò )的全球領(lǐng)先市場(chǎng)地位。可以說(shuō),華為在IPv6領(lǐng)域擁有大量的實(shí)踐經(jīng)驗,可以幫助客戶(hù)平滑過(guò)渡到IPv6網(wǎng)絡(luò ),構建超寬、極簡(jiǎn)、 安全、開(kāi)放的IPv6數據中心網(wǎng)絡(luò )基礎架構,和我們的客戶(hù)一起自信滿(mǎn)滿(mǎn)的迎接云計算、大數據,人工智能,物聯(lián)網(wǎng),5G的等各類(lèi)接踵而至的數字化產(chǎn)業(yè)革命。
